Datenschutz-Akademie » Datenschutz-News » Datenschutz-Bußgeld wegen Verwendung des Bradford Faktors
Datenschutz-Bußgeld wegen Verwendung des Bradford Faktors
Datum: 27.01.2020
Grund für das Datenschutz-Bußgeld: Verwendung des Bradford Faktors verstößt gegen DSGVO
Der Datenschutzbeauftragte Zyperns verhängte eine Geldstrafe in Höhe von insgesamt 82.000,00 Euro gegen LGS Handling Ltd, Louis Travel Ltd und Louis Aviation Ltd (Louis Group of Companies) wegen der fehlenden Rechtsgrundlage für die Verarbeitung mittels des “Bradford Factor”-Tools, welches für die Bewertung von Krankenständen von Mitarbeitern verwendet wird.
Die Untersuchung wurde eingeleitet, nachdem die Gewerkschaft der betroffenen Beschäftigten eine Beschwerde eingereicht hatte.
Das Datum und die Häufigkeit einer durch Krankheit bedingten Ausfallzeit einer Person, führen, sofern ihre Identität direkt oder indirekt bekannt gegeben wird, zur Verarbeitung “besonderer Kategorien personenbezogener Daten”, wie sie in Artikel 9 Absatz 1 der DSGVO definiert sind.
Die Bereitstellung personenbezogener Daten an ein automatisiertes System, die Bewertung der Daten mit Hilfe des “Bradford-Faktors” und die Erstellung von Profilen von Personen auf der Grundlage der Ergebnisse wird als Verarbeitung personenbezogener Daten betrachtet; daher muss eine solche Verarbeitung im Einklang mit den Grundsätzen der DSGVO stehen.
Der für die Verarbeitung Verantwortliche führte eine Datenschutz-Folgenabschätzung der Verarbeitung durch, die der Aufsichtsbehörde während der Untersuchung zur Konsultation vorgelegt wurde. Diese war der Meinung, dass der für die Verarbeitung Verantwortliche durch die Datenschutz-Folgenabschätzung nicht nachweisen konnte, dass sein legitimes Interesse Vorrang vor den Interessen, Rechten und Freiheiten seiner Mitarbeiter hat und dass folglich die Risikominderung nicht angemessen war.
Im Verlauf der Untersuchung machten die Europäische Datenschutzaufsichtsbehörde von der Möglichkeit Gebrauch, über das so genannte Amtshilfeverfahren Rechtsfragen an die anderen EEA-Vertragsstaaten zu richten und erhielt Beiträge von 25 Behörden. Die eingegangenen Antworten bestätigten das Fehlen einer rechtlichen Grundlage für die genannte Verarbeitung und betonten die Notwendigkeit, derartige Angelegenheiten mit spezifischen Regeln in Übereinstimmung mit Artikel 88 des DSGVO zu regulieren.
Der für die Verarbeitung Verantwortliche hatte als Arbeitgeber das Recht, die Häufigkeit von Krankheitsfällen und die Gültigkeit von Krankheitsbescheinigungen zu überwachen. Eine solche Vorgabe sollte jedoch nicht zu einer unsachgemäßen Behandlung der Angestellten führen.
Nachdem die Ausichtsbhörde den Verstoß feststellte, wurde der für die Verarbeitung Verantwortlichen angewiesen die Verarbeitung zu unterbrechen und alle gesammelten Daten zu löschen. Darüber hinaus wurde im Zusammenhang mit den Verstößen gegen Artikel 6 Absatz 1 und Artikel 9 der DSGVO eine Geldbuße in Höhe von 70.000 Euro gegen LGS Handling Ltd., eine Geldbuße in Höhe von 10.000 Euro gegen Louis Travel Ltd. und eine Geldbuße in Höhe von 2.000 Euro gegen Louis Aviation Ltd. verhängt.
Bei der Entscheidung über die Höhe der Verwaltungsstrafen wurden die Anzahl der betroffenen Personen (insgesamt 818 Mitarbeiter), die Art und Dauer der Verstöße sowie der jeweilige Umsatz der Unternehmen berücksichtigt.
Höhe des Datenschutz-Bußgeldes: 82.000 Euro
Land: Zypern
- Internes Kontrollsystem - 10. September 2024
- TISAX-Anforderungen: Schritt für Schritt Zertifizierung vorbereiten - 8. Januar 2024
- Audit-Management: Audits effizienter umsetzen - 26. Oktober 2023